sqlserver服務(wù)賬戶和權(quán)限管理配置.doc

1、大多數(shù)服務(wù)及其屬性可通過使用SQL Server配置管理器進(jìn)行配置。以下是在C 盤安裝Windows的情況下最新的四個版本的路徑。SQL Server 2016C:WindowsSysWOW64SQLServerManager13.mscSQL Server 2014C:WindowsSysWOW64SQLServerManager12.mscSQL Server 2012C:WindowsSysWOW64SQLServerManager11.mscSQL Server 2008C:WindowsSysWOW64SQLServerManager10.msc安裝的服務(wù)SQL Server根據(jù)您決

2、定安裝的組件，SQL Server安裝程序?qū)惭b以下服務(wù)：?SQL Server Database Services- 用于SQL Server關(guān)系數(shù)據(jù)庫引擎的服務(wù)。可執(zhí)行文件為MSSQLBinnsqlservr.exe。?SQL Server代理 - 執(zhí)行作業(yè)、監(jiān)視SQL Server、激發(fā)警報以及允許自動執(zhí)行某些管理任務(wù)。SQL Server代理服務(wù)在SQL Server Express的實例上存在，但處于禁用狀態(tài)?？蓤?zhí)行文件為MSSQLBinnsqlagent.exe。?Analysis Services- 為商業(yè)智能應(yīng)用程序提供聯(lián)機(jī)分析處理(OLAP)和數(shù)據(jù)挖掘功能?？蓤?zhí)行文件為OLA

3、PBinmsmdsrv.exe。?Reporting Services- 管理、執(zhí)行、創(chuàng)建、計劃和傳遞報表?？蓤?zhí)行文件為ReportingServicesReportServerBinReportingServicesService.exe。?Integration Services- 為 Integration Services包的存儲和執(zhí)行提供管理支持。可執(zhí)行文件的路徑是130DTSBinnMsDtsSrvr.exe?SQL Server Browser- 向客戶端計算機(jī)提供SQL Server連接信息的名稱解析服務(wù)?？蓤?zhí)行文件的路徑為c:Program Files (x86)Micros

4、oft SQLServer90Sharedsqlbrowser.exe?全文搜索- 對結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)的內(nèi)容和屬性快速創(chuàng)建全文索引，從而為SQLServer提供文檔篩選和斷字功能。?SQL 編寫器 - 允許備份和還原應(yīng)用程序在卷影復(fù)制服務(wù)(VSS) 框架中運行。?SQL Server分布式重播控制器- 跨多個分布式重播客戶端計算機(jī)提供跟蹤重播業(yè)務(wù)流程。?SQL Server Distributed Replay客戶端 - 與 Distributed Replay控制器一起來模擬針對SQL Server 數(shù)據(jù)庫引擎實例的并發(fā)工作負(fù)荷的一臺或多臺DistributedReplay客戶端計算機(jī)。

5、?SQL Server受信任的啟動板 -用于托管Microsoft提供的外部可執(zhí)行文件的可信服務(wù)，例如作為R Services (In-database)的一部分安裝的R 運行時。 附屬進(jìn)程可由啟動板進(jìn)程啟動，但將根據(jù)單個實例的配置進(jìn)行資源調(diào)控。啟動板服務(wù)在其自己的用戶帳戶下運行，特定注冊運行時的各個附屬進(jìn)程將繼承啟動板的用戶帳戶。附屬進(jìn)程將在執(zhí)行過程中按需創(chuàng)建和銷毀。服務(wù)屬性和配置用于啟動和運行SQL Server的啟動帳戶可以是域用戶帳戶、本地用戶帳戶、托管服務(wù)帳戶、虛擬帳戶 或內(nèi)置系統(tǒng)帳戶。 若要啟動和運行SQL Server中的每項服務(wù)，這些服務(wù)都必須有一個在安裝過程中配置的啟動帳戶。

6、默認(rèn)服務(wù)帳戶下表列出了安裝程序在安裝所有組件時使用的默認(rèn)服務(wù)帳戶。列出的默認(rèn)帳戶是建議使用的帳戶，但特殊注明的除外。獨立服務(wù)器或域控制器Windows7和WindowsServerWindows Server 2008（可能為組件2008 （可能為英文頁面）R2 及更高英文頁面）版本數(shù) 據(jù) 庫 引NETWORK SERVICE虛擬帳戶 *擎SQLNETWORK SERVICE虛擬帳戶 *Server代Windows7和WindowsServerWindows Server 2008（可能為組件2008 （可能為英文頁面）R2 及更高英文頁面）版本理SSASNETWORK SERVICE虛擬帳戶

7、 *SSISNETWORK SERVICE虛擬帳戶 *SSRSNETWORK SERVICE虛擬帳戶 *SQLNETWORK SERVICE虛擬帳戶 *Server分布式重播控制器SQLNETWORK SERVICE虛擬帳戶 *Server分Windows7和WindowsServerWindows Server 2008（可能為組件2008 （可能為英文頁面）R2 及更高英文頁面）版本布式重播客戶端FD啟動器LOCAL SERVICE虛擬帳戶（全文搜索）SQLLOCAL SERVICELOCAL SERVICEServerBrowserSQLLOCAL SYSTEMLOCAL SYSTEMS

8、erverVSS編寫器Windows7和WindowsServerWindows Server 2008（可能為組件2008 （可能為英文頁面）R2 及更高英文頁面）版本高 級 分 析NTSERVICEMSSQLLaunchpadNTSERVICEMSSQLLaunchpad擴(kuò)展* 當(dāng)需要SQL Server計算機(jī)外部的資源時，Microsoft建議使用配置了必需的最小特權(quán)的托管服務(wù)帳戶(MSA) 。SQL Server故障轉(zhuǎn)移群集實例Windows Server 2008（可能Windows Server 2008（可能為組件為英文頁面）英文頁面）R2數(shù)據(jù)庫引擎無。提供 域用戶 帳戶。提供

9、域用戶 帳戶。SQL Server代理無。提供 域用戶 帳戶。提供 域用戶 帳戶。SSAS無。提供 域用戶 帳戶。提供 域用戶 帳戶。Windows Server 2008（可能Windows Server 2008（可能為組件為英文頁面）英文頁面）R2SSISNETWORK SERVICE虛擬帳戶SSRSNETWORK SERVICE虛擬帳戶FD 啟動器（全文LOCAL SERVICE虛擬帳戶搜索）SQLServerLOCAL SERVICELOCAL SERVICEBrowserSQLServerVSSLOCAL SYSTEMLOCAL SYSTEM編寫器更改帳戶屬性重要事項?始終使用SQ

10、L Server工具（例如 SQL Server 配置管理器） 來更改 SQL Server數(shù)據(jù)庫引擎或 SQL Server 代理服務(wù)使用的帳戶，或更改帳戶的密碼。除了更改帳戶名稱以外， SQL Server配置管理器還可以執(zhí)行其他配置，例如，更新保護(hù) 數(shù)據(jù)庫引擎的服務(wù)主密鑰的Windows 本地安全存儲區(qū)。其他工具（例如Windows服務(wù)控制管理器）可以更改帳戶名稱，但不更改所有必需的設(shè)置。?對于您在SharePoint場中部署的 Analysis Services實例，始終使用SharePoint管理中心為 Power Pivot服務(wù) 應(yīng)用程序和Analysis Services服務(wù)更改

11、服務(wù)器帳戶。使用管理中心時，關(guān)聯(lián)的設(shè)置和權(quán)限將更新為使用新的帳戶信息。?若要更改Reporting Services選項，請使用 Reporting Services配置工具。托管服務(wù)帳戶、組托管服務(wù)帳戶和虛擬帳戶托管服務(wù)帳戶、組托管服務(wù)帳戶和虛擬帳戶設(shè)計用于向關(guān)鍵應(yīng)用程序（例如SQL Server ）提供其自己帳戶的隔離，同時使管理員無需手動管理這些帳戶的服務(wù)主體名稱(SPN)和憑據(jù)。這就使得管理服務(wù)帳戶用戶、密碼和SPN的過程變得簡單得多。? 托管服務(wù)帳戶托管服務(wù)帳戶(MSA)是一種由域控制器創(chuàng)建和管理的域帳戶。它分配給單個成員計算機(jī)以用于運行服務(wù)。域控制器將自動管理密碼。您不能使用MSA

12、登錄到計算機(jī)，但計算機(jī)可以使用MSA來啟動Windows服務(wù)。MSA可以向Active Directory注冊服務(wù)主體名稱(SPN) 。MSA的名稱中有一個$ 后綴，例如DOMAINACCOUNTNAME$。 在指定MSA時，請將密碼留空。因為將MSA分配給單個計算機(jī)，它不能用于Windows群集的不同節(jié)點。說明域管理員必須先在Active Directory中創(chuàng)建 MSA ，然后 SQL Server安裝程序才能將其用于SQL Server服務(wù)。?組托管服務(wù)帳戶組托管服務(wù)帳戶是針對多個服務(wù)器的MSA 。 Windows為在一組服務(wù)器上運行的服務(wù)管理服務(wù)帳戶。Active Directory自

13、動更新組托管服務(wù)帳戶密碼，而不重啟服務(wù)。你可以配置SQL Server服務(wù)以使用組托管服務(wù)帳戶主體。SQL Server 2016對于獨立實例、故障轉(zhuǎn)移群集實例和可用性組，在Windows Server 2012 R2和更高版本上支持組托管服務(wù)帳戶。若要使用SQL Server 2016或更高版本的組托管服務(wù)帳戶，操作系統(tǒng)必須是Windows Server 2012 R2或更高版本。裝有Windows Server 2012 R2的服務(wù)器需要應(yīng)用KB 2998082，以便服務(wù)可以在密碼更改后立即登錄而不中斷。有關(guān)詳細(xì)信息，請參閱組托管服務(wù)帳戶說明域管理員必須先在Active Directory

14、中創(chuàng)建組托管服務(wù)帳戶，然后SQLServer安裝程序才能將其用于SQL Server服務(wù)。? 虛擬帳戶Windows Server 2008 R2和 Windows 7中的虛擬帳戶是“托管的本地帳戶”，此類帳戶提供以下功能以簡化服務(wù)管理。虛擬帳戶是自動管理的，并且虛擬帳戶可以訪問域環(huán)境中的網(wǎng)絡(luò)。如果在Windows Server 2008 R2或 Windows 7上安裝SQLServer時對服務(wù)帳戶使用默認(rèn)值，則將使用將實例名稱用作服務(wù)名稱的虛擬帳戶，格式為 。 以虛擬帳戶身份運行的服務(wù)通過使用計算機(jī)帳戶的憑據(jù) （格式為$）訪問網(wǎng)絡(luò)資源。當(dāng)指定一個虛擬帳戶以啟動SQL Server時，應(yīng)將密

15、碼留空。如果虛擬帳戶無法注冊服務(wù)主體名稱(SPN) ，則手動注冊該SPN 。 有關(guān)手動注冊SPN的詳細(xì)信息， 請參閱 手動注冊SPN 。說明虛擬帳戶不能用于SQL Server故障轉(zhuǎn)移群集實例，因為虛擬帳戶在群集的每個節(jié)點不會有相同SID 。下表列出了虛擬帳戶名稱的示例。服務(wù)虛擬帳戶名稱數(shù)據(jù)庫引擎服務(wù)的默認(rèn)實例NT SERVICEMSSQLSERVER名為數(shù)據(jù)庫引擎的 的服務(wù)的命名實例NT SERVICEMSSQL$PAYROLLSQLServer代理服務(wù)，位于以下默認(rèn)實例上：NT SERVICESQLSERVERAGENTSQL ServerSQL Server的 SQL Server的 的

16、NTSERVICESQLAGENT$PAYROLL安全說明始終用盡可能低的用戶權(quán)限運行SQLServer服務(wù)。就會使用MSA或 virtualaccount。 當(dāng)無法使用MSA和虛擬帳戶時，將使用特定的低特權(quán)用戶帳戶或域帳戶，而不將共享帳戶用于SQL Server服務(wù)。對不同的SQL Server服務(wù)使用單獨的帳戶。不要向SQLServer服務(wù)帳戶或服務(wù)組授予其他權(quán)限。在支持服務(wù)SID的情況下，將通過組成員身份或直接將權(quán)限授予服務(wù)SID 。防火墻端口在大多數(shù)情況下，首次安裝時，可以通過與數(shù)據(jù)庫引擎安裝在相同計算機(jī)上的SQL ServerManagement Studio等此類工具連接SQL S

17、erver 。 SQL Server安裝程序不會在Windows防火墻中打開端口。在將數(shù)據(jù)庫引擎配置為偵聽TCP 端口， 并且在Windows防火墻中打開適當(dāng)?shù)亩丝谶M(jìn)行連接之前，將無法從其他計算機(jī)建立連接。配置Windows服務(wù)帳戶和權(quán)限SQL Server 2016其他版本適用于：SQL Server 2016SQL Server中的每個服務(wù)表示一個進(jìn)程或一組進(jìn)程，用于通過Windows管理SQL Server操作的身份驗證。 本主題介紹此SQL Server版本中服務(wù)的默認(rèn)配置，以及可以在SQL Server安裝過程中以及安裝之后設(shè)置的SQL Server服務(wù)的配置選項。本主題將幫助高級用

18、戶了解服務(wù)帳戶的詳細(xì)信息。大多數(shù)服務(wù)及其屬性可通過使用SQL Server配置管理器進(jìn)行配置。以下是在C 盤安裝Windows的情況下最新的四個版本的路徑。SQL Server 2016C:WindowsSysWOW64SQLServerManager13.mscSQL Server 2014C:WindowsSysWOW64SQLServerManager12.mscSQL Server 2012C:WindowsSysWOW64SQLServerManager11.mscSQL Server 2008C:WindowsSysWOW64SQLServerManager10.msc安裝的服務(wù)S

19、QL Server根據(jù)您決定安裝的組件，SQL Server安裝程序?qū)惭b以下服務(wù)：?SQL Server Database Services- 用于SQL Server關(guān)系數(shù)據(jù)庫引擎的服務(wù)。可執(zhí)行文件為MSSQLBinnsqlservr.exe。?SQL Server代理 - 執(zhí)行作業(yè)、監(jiān)視SQL Server、激發(fā)警報以及允許自動執(zhí)行某些管理任務(wù)。SQL Server代理服務(wù)在SQL Server Express的實例上存在，但處于禁用狀態(tài)?？蓤?zhí)行文件為MSSQLBinnsqlagent.exe。?Analysis Services- 為商業(yè)智能應(yīng)用程序提供聯(lián)機(jī)分析處理(OLAP)和數(shù)據(jù)挖

20、掘功能。可執(zhí)行文件為OLAPBinmsmdsrv.exe。?Reporting Services- 管理、執(zhí)行、創(chuàng)建、計劃和傳遞報表?？蓤?zhí)行文件為ReportingServicesReportServerBinReportingServicesService.exe。?Integration Services- 為 Integration Services包的存儲和執(zhí)行提供管理支持。可執(zhí)行文件的路徑是130DTSBinnMsDtsSrvr.exe?SQL Server Browser- 向客戶端計算機(jī)提供SQL Server連接信息的名稱解析服務(wù)?？蓤?zhí)行文件的路徑為c:Program File

21、s (x86)Microsoft SQLServer90Sharedsqlbrowser.exe?全文搜索- 對結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)的內(nèi)容和屬性快速創(chuàng)建全文索引，從而為SQLServer提供文檔篩選和斷字功能。?SQL 編寫器 - 允許備份和還原應(yīng)用程序在卷影復(fù)制服務(wù)(VSS) 框架中運行。?SQL Server分布式重播控制器- 跨多個分布式重播客戶端計算機(jī)提供跟蹤重播業(yè)務(wù)流程。?SQL Server Distributed Replay客戶端 - 與 Distributed Replay控制器一起來模擬針對SQL Server 數(shù)據(jù)庫引擎實例的并發(fā)工作負(fù)荷的一臺或多臺Distributed

22、Replay客戶端計算機(jī)。?SQL Server受信任的啟動板 -用于托管Microsoft提供的外部可執(zhí)行文件的可信服務(wù)，例如作為R Services (In-database)的一部分安裝的R 運行時。 附屬進(jìn)程可由啟動板進(jìn)程啟動，但將根據(jù)單個實例的配置進(jìn)行資源調(diào)控。啟動板服務(wù)在其自己的用戶帳戶下運行，特定注冊運行時的各個附屬進(jìn)程將繼承啟動板的用戶帳戶。附屬進(jìn)程將在執(zhí)行過程中按需創(chuàng)建和銷毀。服務(wù)屬性和配置用于啟動和運行SQL Server的啟動帳戶可以是域用戶帳戶、本地用戶帳戶、托管服務(wù)帳戶、虛擬帳戶 或內(nèi)置系統(tǒng)帳戶。 若要啟動和運行SQL Server中的每項服務(wù)，這些服務(wù)都必須有一個在

23、安裝過程中配置的啟動帳戶。此部分介紹可配置為啟動SQL Server服務(wù)的帳戶、SQL Server安裝程序使用的默認(rèn)值、Per-service SID的概念、啟動選項以及配置防火墻。? 默認(rèn)服務(wù)帳戶? 自動啟動? 配置服務(wù)啟動類型? 防火墻端口默認(rèn)服務(wù)帳戶下表列出了安裝程序在安裝所有組件時使用的默認(rèn)服務(wù)帳戶。列出的默認(rèn)帳戶是建議使用的帳戶，但特殊注明的除外。獨立服務(wù)器或域控制器Windows7和WindowsServerWindows Server 2008（可能為組件2008 （可能為英文頁面）R2 及更高英文頁面）版本數(shù) 據(jù) 庫 引NETWORK SERVICE虛擬帳戶 *擎Window

24、s7和WindowsServerWindows Server 2008（可能為組件2008（可能為英文頁面）R2及更高英文頁面）版本SQLNETWORK SERVICE虛擬帳戶 *Server代理SSASNETWORK SERVICE虛擬帳戶 *SSISNETWORK SERVICE虛擬帳戶 *SSRSNETWORK SERVICE虛擬帳戶 *SQLNETWORK SERVICE虛擬帳戶 *Server分布式重播控制器Windows7和WindowsServerWindows Server 2008（可能為組件2008 （可能為英文頁面）R2 及更高英文頁面）版本SQLNETWORK SERV

25、ICE虛擬帳戶 *Server分布式重播客戶端FD啟動器LOCAL SERVICE虛擬帳戶（全文搜索）SQLLOCAL SERVICELOCAL SERVICEServerBrowserSQLLOCAL SYSTEMLOCAL SYSTEMServerWindows7和WindowsServerWindows Server 2008（可能為組件2008 （可能為英文頁面）R2 及更高英文頁面）版本VSS編寫器高 級 分 析NTSERVICEMSSQLLaunchpadNTSERVICEMSSQLLaunchpad擴(kuò)展* 當(dāng)需要SQL Server計算機(jī)外部的資源時，Microsoft建議使用配

26、置了必需的最小特權(quán)的托管服務(wù)帳戶(MSA) 。SQL Server故障轉(zhuǎn)移群集實例Windows Server 2008（可能Windows Server 2008（可能為組件為英文頁面）英文頁面）R2數(shù)據(jù)庫引擎無。提供 域用戶 帳戶。提供 域用戶 帳戶。SQL Server代理無。提供 域用戶 帳戶。提供 域用戶 帳戶。Windows Server 2008（可能Windows Server 2008（可能為組件為英文頁面）英文頁面）R2SSAS無。提供 域用戶 帳戶。提供 域用戶 帳戶。SSISNETWORK SERVICE虛擬帳戶SSRSNETWORK SERVICE虛擬帳戶FD 啟動器

27、（全文LOCAL SERVICE虛擬帳戶搜索）SQLServerLOCAL SERVICELOCAL SERVICEBrowserSQLServerVSSLOCAL SYSTEMLOCAL SYSTEM編寫器更改帳戶屬性重要事項?始終使用SQL Server工具（例如 SQL Server 配置管理器） 來更改 SQL Server數(shù)據(jù)庫引擎或 SQL Server 代理服務(wù)使用的帳戶，或更改帳戶的密碼。除了更改帳戶名稱以外， SQL Server配置管理器還可以執(zhí)行其他配置，例如，更新保護(hù) 數(shù)據(jù)庫引擎的服務(wù)主密鑰的Windows 本地安全存儲區(qū)。其他工具（例如Windows服務(wù)控制管理器）可

28、以更改帳戶名稱，但不更改所有必需的設(shè)置。?對于您在SharePoint場中部署的 Analysis Services實例，始終使用SharePoint管理中心為 Power Pivot服務(wù) 應(yīng)用程序和Analysis Services服務(wù)更改服務(wù)器帳戶。使用管理中心時，關(guān)聯(lián)的設(shè)置和權(quán)限將更新為使用新的帳戶信息。?若要更改Reporting Services選項，請使用 Reporting Services配置工具。托管服務(wù)帳戶、組托管服務(wù)帳戶和虛擬帳戶托管服務(wù)帳戶、組托管服務(wù)帳戶和虛擬帳戶設(shè)計用于向關(guān)鍵應(yīng)用程序（例如SQL Server ）提供其自己帳戶的隔離，同時使管理員無需手動管理這些帳戶

29、的服務(wù)主體名稱(SPN)和憑據(jù)。這就使得管理服務(wù)帳戶用戶、密碼和SPN的過程變得簡單得多。?托管服務(wù)帳戶托管服務(wù)帳戶(MSA)是一種由域控制器創(chuàng)建和管理的域帳戶。它分配給單個成員計算機(jī)以用于運行服務(wù)。域控制器將自動管理密碼。您不能使用MSA登錄到計算機(jī)，但計算機(jī)可以使用MSA來啟動Windows服務(wù)。MSA可以向Active Directory注冊服務(wù)主體名稱(SPN) 。MSA的名稱中有一個$ 后綴，例如 DOMAINACCOUNTNAME$。 在指定MSA時，請將密碼留空。因為將MSA分配給單個計算機(jī)，它不能用于Windows群集的不同節(jié)點。說明域管理員必須先在Active Directo

30、ry中創(chuàng)建 MSA ，然后 SQL Server安裝程序才能將其用于SQL Server服務(wù)。?組托管服務(wù)帳戶組托管服務(wù)帳戶是針對多個服務(wù)器的MSA 。 Windows為在一組服務(wù)器上運行的服務(wù)管理服務(wù)帳戶。Active Directory自動更新組托管服務(wù)帳戶密碼，而不重啟服務(wù)。你可以配置SQL Server服務(wù)以使用組托管服務(wù)帳戶主體。SQL Server 2016對于獨立實例、故障轉(zhuǎn)移群集實例和可用性組，在Windows Server 2012 R2和更高版本上支持組托管服務(wù)帳戶。若要使用SQL Server 2016或更高版本的組托管服務(wù)帳戶，操作系統(tǒng)必須是Windows Server

31、 2012 R2或更高版本。裝有Windows Server 2012 R2的服務(wù)器需要應(yīng)用KB 2998082，以便服務(wù)可以在密碼更改后立即登錄而不中斷。有關(guān)詳細(xì)信息，請參閱組托管服務(wù)帳戶說明域管理員必須先在Active Directory中創(chuàng)建組托管服務(wù)帳戶，然后SQLServer安裝程序才能將其用于SQL Server服務(wù)。? 虛擬帳戶Windows Server 2008 R2和 Windows 7中的虛擬帳戶是“托管的本地帳戶”，此類帳戶提供以下功能以簡化服務(wù)管理。虛擬帳戶是自動管理的，并且虛擬帳戶可以訪問域環(huán)境中的網(wǎng)絡(luò)。如果在Windows Server 2008 R2或 Wind

32、ows 7上安裝SQLServer時對服務(wù)帳戶使用默認(rèn)值，則將使用將實例名稱用作服務(wù)名稱的虛擬帳戶，格式為 。 以虛擬帳戶身份運行的服務(wù)通過使用計算機(jī)帳戶的憑據(jù) （格式為$）訪問網(wǎng)絡(luò)資源。當(dāng)指定一個虛擬帳戶以啟動SQL Server時，應(yīng)將密碼留空。如果虛擬帳戶無法注冊服務(wù)主體名稱(SPN) ，則手動注冊該SPN 。 有關(guān)手動注冊SPN的詳細(xì)信息， 請參閱 手動注冊SPN 。說明虛擬帳戶不能用于SQL Server故障轉(zhuǎn)移群集實例，因為虛擬帳戶在群集的每個節(jié)點不會有相同SID。下表列出了虛擬帳戶名稱的示例。服務(wù)虛擬帳戶名稱數(shù)據(jù)庫引擎服務(wù)的默認(rèn)實例NT SERVICEMSSQLSERVER名為數(shù)

33、據(jù)庫引擎的 的服務(wù)的命名實例NT SERVICEMSSQL$PAYROLLSQL Server代理服務(wù)，位于以下默認(rèn)實例上：NT SERVICESQLSERVERAGENTSQL ServerSQL Server的 SQL Server的 的NTSERVICESQLAGENT$PAYROLL有關(guān)托管服務(wù)帳戶和虛擬帳戶的詳細(xì)信息，請參閱 服務(wù)帳戶分步指南的托管服務(wù)和虛擬帳戶概念部分以及 托管服務(wù)帳戶常見問題解答(FAQ) 。安全說明始終用盡可能低的用戶權(quán)限運行SQL Server服務(wù)。就會使用MSA 或 virtualaccount。 當(dāng)無法使用MSA和虛擬帳戶時，將使用特定的低特權(quán)用戶帳戶或域

34、帳戶，而不將共享帳戶用于SQL Server服務(wù)。對不同的SQL Server服務(wù)使用單獨的帳戶。不要向SQLServer服務(wù)帳戶或服務(wù)組授予其他權(quán)限。在支持服務(wù)SID的情況下，將通過組成員身份或直接將權(quán)限授予服務(wù)SID 。自動啟動除了具有用戶帳戶外，每項服務(wù)還有用戶可控制的三種可能的啟動狀態(tài)：? 已禁用 服務(wù)已安裝但當(dāng)前未運行。? 手動 服務(wù)已安裝，但僅當(dāng)另一個服務(wù)或應(yīng)用程序需要該服務(wù)的功能時才啟動。? 自動 服務(wù)由操作系統(tǒng)自動啟動。在安裝過程中，啟動狀態(tài)處于選中狀態(tài)。當(dāng)安裝命名實例時，SQL Server Browser服務(wù)應(yīng)設(shè)置為自動啟動。在無人參與的安裝過程中配置服務(wù)下表顯示了可以在安

35、裝過程中配置的SQL Server服務(wù)。對于無人參與的安裝，可以在配置文件中或在命令提示符下使用開關(guān)。SQL Server服務(wù)名稱無人參與安裝的開關(guān)*MSSQLSERVERSQLSVCACCOUNT、SQLSVCPASSWORD、SQLSVCSTARTUPTYPESQLServerAgent*AGTSVCACCOUNT、AGTSVCPASSWORD、AGTSVCSTARTUPTYPEMSSQLServerOLAPServiceASSVCACCOUNT、ASSVCPASSWORD、SQL Server服務(wù)名稱無人參與安裝的開關(guān)*ASSVCSTARTUPTYPEReportServerRSSVCA

36、CCOUNT、RSSVCPASSWORD、RSSVCSTARTUPTYPEIntegration ServicesISSVCACCOUNT、ISSVCPASSWORD、ISSVCSTARTUPTYPESQLServerDistributedDRU_CTLR、CTLRSVCACCOUNT、Replay控制器CTLRSVCPASSWORD、CTLRSTARTUPTYPE、CTLRUSERSSQLServerDistributedDRU_CLT 、CLTSVCACCOUNT、CLTSVCPASSWORD 、Replay客戶端CLTSTARTUPTYPE、CLTCTLRNAME、CLTWORKINGD

37、IR、CLTRESULTDIRSQL Server服務(wù)名稱無人參與安裝的開關(guān)*R Services (In-database)EXTSVCACCOUNT、EXTSVCPASSWORD、ADVANCEDANALYTICS* 有關(guān)無人參與安裝的詳細(xì)信息和示例語法，請參閱從命令提示符安裝SQL Server 2016。*SQL Server代理服務(wù)在SQL Server Express實例和具有高級服務(wù)的SQL Server Express實例上處于禁用狀態(tài)。防火墻端口在大多數(shù)情況下，首次安裝時，可以通過與數(shù)據(jù)庫引擎安裝在相同計算機(jī)上的SQL ServerManagement Studio等此類工具

38、連接SQL Server。 SQL Server安裝程序不會在Windows防火墻中打開端口。 在將數(shù)據(jù)庫引擎配置為偵聽 TCP 適當(dāng)?shù)亩丝谶M(jìn)行連接之前，將無法從其他計算機(jī)建立連接。端口， 并且在Windows有關(guān)詳細(xì)信息，請參閱防火墻中打開配置Windows防火墻以允許SQL Server訪問。服務(wù)權(quán)限服務(wù)配置和訪問控制SQL Server 2016會為它的每項服務(wù)啟用Per-service SID，以提供深層服務(wù)隔離與防御。Per-service SID從服務(wù)名稱派生得到，對該服務(wù)是唯一的。例如，數(shù)據(jù)庫引擎服務(wù)的服務(wù)名稱可能是NT ServiceMSSQL$。通過服務(wù)隔離，可直接訪問特定的對SID象，而無需運行高特權(quán)帳戶，也不會削弱為對象提供的安全保護(hù)水平。通過使用包含服務(wù)SID的訪問控制項，SQL Server 服務(wù)可限制對其資源的訪問。說明： 在 Windows 7和 Windows Server 2008（可能為英文頁面） R2 上， Pe